Drive-by-Dowload es uno de los tipos de ataques más realizados hoy en día por los creadores de malware que propagan sus amenazas por Internet.

Un Drive-by-Dowload ocurre cuando se inserta código dañino en un sitio web, luego de hallar vulnerabilidades explotables en distintas plataformas como blogs o sitios con administración deficiente. Es decir que los atacantes buscan (a través de herramientas automáticas) estas vulnerabilidades y luego, también automáticamente, insertan los códigos de scripts dañinos masivamente en todos los sitios previamente hallados.

Luego, a través de este script, se invoca a un exploit para la plataforma y aplicaciones específicas del usuario que permite la descarga de un archivo ejecutable, el cual se ejecuta en el equipo del usuario, también basado en las vulnerabilidades halladas en el software instalado. Gráficamente el proceso es el siguiente:

Por supuesto, cuanto mayor sea la cantidad de sitios hallados y modificados mayor será la escala de infección… pudiendo ser miles de sitios, de blogs, de foros, etc. ya que más cantidad de usuarios visitarán esos sitios.

Actualmente la única solución a este tipo de ataques es verificar los sitios web en busca de vulnerabilidades, actualizar todas las aplicaciones y utilizar un antivirus con capacidades proactivas que permita detectar las nuevas amenazas. Para más información sobre como evitar estos ataques masivos puede leerse Formas de prevención I, II y III. Para más información se puede consultar el artículo The Ghost In The Browser Analysis of Web-based Malware publicado por Google.

Actualización 01-08-2008: hemos desarrollado un artículo explicando en detalle como funciona Drive-by-Download: infección a través de sitios web.

Cristian

Categories: Educación
No Comments »

En estos momentos está siendo propagado un correo que simula provenir de diversos medios de comunicación (como CNN), con la noticia de la captura de Osama bin Laden y con un supuesto video del ejército norteamericano:

Para quienes nos siguen es fácil adivinar que se trata de un nuevo ataque del gusano que ESET NOD32 detecta por heurística como Nuwar:

Como se sabe, los autores de Nuwar aprovechan cualquier tipo de excusa para propagar sus creaciones pero gracias a la detección proactiva de ESET, nuestros usuarios siempre están protegidos.

Cristian

Categories: Alertas, Malware
1 Comment »

En las últimas horas nuestro Laboratorio ha recibido vía spam una gran cantidad de correos semejantes, simulando provenir de la empresa United Parcel Service (UPS), con el seguimiento de un supuesto envío postal de un paquete. Cada correo además contiene un archivo adjunto comprimido, el cual se nos solicita que imprimamos:

Por supuesto el correo no proviene de UPS y como puede verse, al descargar el archivo y descomprimirlo, en realidad se trata de un archivo ejecutable al que se le ha cambiado el ícono para simular ser una aplicación de Microsoft Word. Si el usuario ejecuta este archivo, se infectará con el troyano que ESET NOD32 detecta como Win32/PSW.Agent.NIF.

Vale estar prevenido ante esta amenaza por la gran cantidad de correos que se están recibiendo.

Cristian

Categories: Malware, Spam
3 Comments »

Soy reticente a tratar temas de la competencia pero este caso me superó, ya que media Internet está hablando de ellos.

Se trata del último grito de la moda en protección para el sistema: Hello Kitty, un producto antivirus y con firewall que proviene de Taiwan y que por ahora sólo se encuentra en idioma chino mandarín.

Tengo miedo de pensar que será lo próximo… ¿Robotech y Mazinger Z unidos y protegiendo mi sistema?

Nota: desconozco la calidad del producto en sí mismo ya que no he tenido posibilidad de probarlo hasta el momento.

Cristian

Categories: Curiosidades, Productos
1 Comment »

Un Troyano Clicker es aquel que permite realizar clic en sitios de publicidad para que el creador de la misma obtenga un beneficio de cada clic realizado.

Por supuesto esta acción se realiza sin el conocimiento ni consentimiento del usuario y su implementación puede llevarse a cabo de distintas maneras:

• el usuario se infecta con un troyano (archivo ejecutable) y el mismo se encarga de realizar una conexión a sitios específicos cada cierto tiempo;
• el usuario visualiza una página web conteniendo un script oculto que hace el llamado a la página de publicidad;
• el usuario recibe un correo (o un mensaje por un mensajero) con una dirección web y al ingresar se cumple el caso anterior;
• el usuario recibe un correo con un archivo HTML adjunto. Al abrirlo se cumplen los casos anteriores.

Este último caso es el que paso a analizar a continuación, en donde se recibe un archivo HTML con supuestos detalles de un tema en particular:

Al descargar el archivo adjunto y analizarlo se puede ver el siguiente código Javascript ofuscado, al parecer con comandos inentendibles:

Aunque ese código parezca algo complejo, puede desofuscarse para comprender que se intenta hacer con el resultado:

En la primera función del mismo se tiene una rutina de “descifrado” (muy sencilla) y en las siguientes líneas se llama a esa rutina para desofuscar el código que realmente se ejecuta en el explorador del usuario, al abrir el archivo.

Como puede verse, al final se crean dos frames invocando a un sitio money[eliminado].com en el cual se aloja la publicidad de la cual es objeto esta amenaza.

La ofuscación en general, si bien puede parecer compleja, muchas veces no es más que el cambio de un caracter por otro o la utilización de rutinas sencillas para que el usuario no comprenda lo que está viendo. Si se dedica cierto tiempo no se tarda en entender las rutinas y sus objetivos.

Cristian

Categories: Malware
2 Comments »